Archivio mensile:dicembre 2018

Come documentare l’ambito del SGSI conforme alla norma ISO 27001

Rispondi

Cosa significa documentare l’ambito del Sistema di gestione sicurezza informazioni?
Significa definire quali informazioni devono essere protette dal sistema.
Per farlo si può procedere in tre step:

Collana_foto

1. Identificare ogni luogo o ambiente in cui le informazioni sono archiviate. Quindi sia luoghi fisici, che digitali e cloud.

2. Identificare le modalità di accesso ai dati e regostrare tutti gli accessi alle informazioni effettuati da qualsiasi punto, sia che si tratti di un archivio cartaceo sia di un computer, un tablet, un telefono cellulare.

3. Determinare ciò che non rientra nell’ambito, ossia tutti gli aspetti sui quali l’organizzazione non ha alcun controllo (come i prodotti di terzi) o che non danno accesso o non conservano informazioni riservate.

Un ambito ben definito e individuato garantisce che ogni area dell’organizzazione riceva un’adeguata attenzione per l’implementazione delle misure di sicurezza. La documentazione dell’ambito di progetto è un requisito ISO 27001.

iso27001

Gdpr: il Garante verifica la conformità del Codice dei giornalisti. Le “Regole deontologiche” in corso di pubblicazione nella Gazzetta Ufficiale

Rispondi

Verificata dal Garante per la protezione dei dati personali la conformità del Codice deontologico dei giornalisti al Regolamento Ue 2016/679 sulla protezione dei dati personali. La verifica – demandata all’Autorità dal decreto legislativo n. 101/2018  di adeguamento della  normativa nazionale al Regolamento Ue – non modifica sostanzialmente il Codice deontologico limitandosi ad un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo.

Il testo aggiornato, ridenominato in base al  decreto legislativo n. 101/2018 “Regole deontologiche relative al trattamento dei dati personali  nell’esercizio dell’attività giornalistica”,  in corso di pubblicazione nella Gazzetta ufficiale, è stato trasmesso  Ministero della giustizia per essere riportato con decreto nell’Allegato A) del Codice in materia di protezione dei dati personali.

Roma, 14 dicembre 2018

Lavoro, vanno protetti i dati degli iscritti ai sindacati

Rispondi

club

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  – ha osservato  l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.

L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

Bike Sharing sotto inchiesta per violazione GDPR

Rispondi

club

China’s Mobike è sotto inchiesta da parte dell Autorità dei dati in Germania per una sospetta violazione della legge europea GDPR.
Le distintive bici arancione di Mobike sono diventate uno spettacolo comune in 23 città europee, in tutto il mondo, sono più di 200 milioni di utenti registrati.
A Berlino, tuttavia, il gruppo si trova ora di fronte a una battuta d’arresto potenzialmente seria.

La preoccupazione nel caso di piattaforme per la condivisione di biciclette e auto è che raccolgono una quantità significativa di dati sui propri utenti tramite le app per dispositivi mobili necessarie per utilizzare i servizi.
Ciò include anche dati di posizione precisi quando il cliente non sta utilizzando la bicicletta o l’auto in questione.
Per aziende non europee come Mobike, il GDPR rappresenta una sfida aggiuntiva poiché impone restrizioni al trasferimento di dati al di fuori dell’UE.
Mobike, ad esempio, invia i propri dati utente in Cina, dove l’azienda ha la propria sede.

Steve Milton, responsabile della crescita di Mobike Europe, ha dichiarato: Prendiamo molto sul serio la protezione dei dati. Seguiamo gli standard del settore. Non penso ci sia nulla che Mobike non stia facendo in altre aziende.” Il GDPR è un regolamento estremamente sensibile e complesso.

DPO interno o esterno? Utili consigli per sceglierlo

Rispondi

 

club
Individuare il Data Protection Officer giusto per la propria azienda è una scelta delicata. Ci si può rivolgere a una risorsa interna, oppure a un professionista esterno. Ci sono vantaggi e svantaggi in entrambi i casi.
In questo articolo – disponibile su www.clubdpo.com – utili consigli per scegliere il DPO più adatto.

Lavoratori inviati all’estero: quale normativa privacy applicare?

Rispondi

club

Un’azienda stabilita in Italia o in altro Paese dell’Unione Europea che invia i suoi dipendenti all’estero (anche in Paesi extraUE) deve applicare, nel trattamento dei dati personali, il GDPR se i dati sono trattati nell’ambito delle attività dello stabilimento sito nell’Unione o se il trattamento è effettuato in Paese extraUE in uno stabilimento connesso con lo stabilimento presente nell’UE. Non rileva, in questo ambito, che il lavoratore venga inviato all’estero in distacco o in trasferta. I dati saranno, in entrambi i casi, trattati in Italia presso la sede dell’azienda.

Fonte: Ipsoa